Questa è una prima reazione a una storia in via di sviluppo. Per eventuali modifiche e/o aggiornamenti alla nostra dichiarazione, si prega di ricontrollare questa pagina.
Nonostante le pesanti critiche della società civile e di gran parte del Parlamento europeo, la Commissione europea ha pubblicato la sua proposta di "Omnibus digitale". Contrariamente a quanto riportato nel comunicato stampa ufficiale della Commissione, queste modifiche non sono "mantenere il massimo livello di protezione dei dati personali", ma abbassano in modo massiccio le tutele per i cittadini europei. Se da un lato non hanno alcun beneficio reale per le piccole e medie imprese europee, dall'altro le modifiche proposte sono un regalo alle big tech statunitensi, in quanto aprono molte nuove scappatoie da sfruttare per i loro uffici legali. Schrems: "Questo è il più grande attacco ai diritti digitali degli europei degli ultimi anni. Quando la Commissione dichiara di "mantenere i più alti standard", è chiaro che non è corretto. Propone di minare questi standard."
Il più grande taglio ai diritti di privacy degli ultimi anni. I gruppi di pressione dell'industria hanno usato con successo la paura europea della pressione economica globale per chiedere tagli massicci ai diritti digitali degli europei. Le brusche modifiche proposte oggi possono minare più di 40 anni di chiara posizione europea contro la sorveglianza commerciale da parte di soggetti privati, come sancito anche dall'articolo 8 della Carta europea dei diritti fondamentali e ampiamente sostenuto dall'opinione pubblica europea.
Max Schrems: "Il Digital Omnibus avvantaggerebbe soprattutto le grandi aziende tecnologiche, senza fornire alcun beneficio tangibile alle imprese medie dell'UE. Questa proposta di riforma è un segno di panico nel definire il futuro digitale dell'Europa, non un segno di leadership. Ciò di cui abbiamo veramente bisogno è un piano strategico e ben progettato a lungo termine per far progredire l'Europa"
Scarso sostegno politico alle modifiche. La Commissione europea ha tirato fuori dal cilindro questa riforma del GDPR nonostante il fatto che la maggior parte degli Stati membri dell'UE aveva chiesto esplicitamente di non riaprire il GDPR. Inoltre, i testi trapelati la scorsa settimana hanno generato una forte opposizione da parte dei gruppi di centro e di sinistra del Parlamento europeo (S&D, Rinnovare e Verdi) che hanno chiesto esplicitamente alla Commissione di fermare questi tagli massicci al GDPR. Inoltre, 127 organizzazioni della società civile (tra cui noyb) hanno criticato pesantemente l'inaspettata incursione della Commissione e il testo trapelato.
Tuttavia, oggi, sotto la guida della Presidente della Commissione Ursula von der Leyen, Vicepresidente Henna Virkkunen e Commissario per la Giustizia Michael McGrath, la Commissione ha deciso di procedere con importanti tagli al GDPR. Si parla di massicce pressioni politiche all'interno della Commissione per tagliare le leggi, senza un processo o un'analisi adeguati.
Max Schrems: "Il sostegno politico a questi tagli da parte dell'opinione pubblica, degli Stati membri e del Parlamento europeo è limitato. Sembra che la Commissione europea cerchi semplicemente di scavalcare tutti gli altri attraverso una procedura "rapida", che assomiglia più a una reazione di panico che a un processo legislativo ben ponderato e basato su dati concreti"
Il retroscena: Influenza tedesca o statunitense? Una delle forze trainanti della riforma per cui "prova su carta è la Germania. Alcune voci indicano anche recente rapporto di Politicosecondo cui il messaggio di Virkkunen alle imprese statunitensi in occasione di incontri diretti è stato che l'UE diventerà più "favorevole alle imprese". Ci sono anche notizie sulla crescente pressione dell'amministrazione Trump affinché l'UE riduca le protezioni per evitare i dazi.
Sebbene non sia chiaro da dove provengano esattamente le pressioni, è chiaro che la Commissione europea si è sorprendentemente e segretamente spinta ben oltre il piano iniziale per l'"Omnibus digitale" piano iniziale per il "Digital Omnibus"che non dovrebbe non non avrebbe dovuto includere modifiche al GDPR.
La Commissione europea "si muove velocemente - e rompe le cose". Invece di attenersi al piano originale di un "Digital Fitness Check" nel 2026 per ridurre gli oneri amministrativi, la Commissione europea sembra aver seguito il motto della Silicon Valley di "muoversi velocemente e rompere le cose"muoversi velocemente e rompere le cose"per far passare le riforme delle norme fondamentali con una procedura "accelerata". La mancanza di una valutazione d'impatto o di una raccolta di prove butta a mare i principi da tempo consolidati di standard minimi per l'elaborazione delle leggi dell'UE e segue un tipo di modifiche erratiche di tipo "trumpiano". La conseguenza è una stesura pessima e una legge che non è adatta allo scopo.
Max Schrems: "Questi cambiamenti sono avvenuti senza procedure adeguate e non sono basati su prove, ma piuttosto sulla paura e sulle affermazioni dell'industria. muoversi in fretta e rompere le cose" non è un motto che funziona per far passare una legislazione che riguarda non solo la vita di 450 milioni di persone, ma in ultima analisi anche il corretto funzionamento delle nostre società e democrazie."
"Visione a tunnel dell'intelligenza artificiale". La proposta di riforma del GDPR sembra mirare principalmente a rimuovere gli ostacoli che potrebbero limitare l'uso dei dati personali, come quelli dei social media, per l'IA. Tuttavia, molte di queste modifiche avrebbero conseguenze enormi per la società in settori diversi dall'IA, come la pubblicità online.
Max Schrems: "L'intelligenza artificiale potrebbe essere una delle tecnologie più impattanti e pericolose per la nostra democrazia e la nostra società. Ciononostante, la narrazione di una 'corsa all'IA' ha portato i politici a gettare dalla finestra persino le protezioni che avrebbero dovuto tutelarci dal fatto che tutti i nostri dati finissero in un grande algoritmo opaco"
Nessun beneficio per le PMI europee, ma apertura delle porte ai "grandi". Nonostante le frequenti promesse di alleggerire principalmente l'onere per le piccole imprese europee, i cambiamenti proposti sono tutt'altro che semplificazione. La maggior parte degli articoli diventa più complessa, poco chiara e illogica. Invece di lavorare per ridurre la necessità di documentazione cartacea (che è il problema principale per le imprese europee), la Commissione sta introducendo scappatoie legali che solo le grandi aziende e i grandi studi legali saranno in grado di sfruttare.
Max Schrems: "Sebbene la Commissione sostenga costantemente che questa riforma sarebbe positiva per le piccole imprese, i cambiamenti apportati a queste ultime sono molto limitati. Le modifiche a leggi consolidate non faranno altro che aumentare la concentrazione del mercato, creare maggiore incertezza giuridica, generare nuove cause e richiedere consulenze legali più costose. L'unico vero beneficiario è la grande tecnologia e gli studi legali"
Una morte da 1000 tagli. Secondo la consultazione pubblica della Commissione di ottobre, gli aspetti della proposta relativi alla protezione dei dati avrebbero dovuto concentrarsi principalmente sul problema della stanchezza da "cookie banner". Tuttavia, oggi la Commissione ha presentato tagli approfonditi al GDPR. Molti di questi tagli sembrano violare, o quantomeno contrastare, con il diritto alla protezione dei dati di cui all'articolo 8 della Carta dei diritti fondamentali dell'UE.
Ecco una prima panoramica dei problemi principali:
(1) Una nuova scappatoia del GDPR tramite "pseudonimi" o "ID". La Commissione propone di restringere in modo significativo la definizione di "dati personali", con il risultato che il GDPR non si applicherebbe a molte aziende in vari settori. Ad esempio, i settori che attualmente operano tramite "pseudonimi" o numeri identificativi casuali, come i broker di dati o l'industria pubblicitaria, non sarebbero più (completamente) coperti. Ciò avverrebbe con l'aggiunta di un "approccio soggettivo"nel testo del GDPR.
Invece di avere una definizione oggettiva di dati personali (ad esempio, dati collegati a una persona direttamente o indirettamente identificabile), una definizione soggettiva significherebbe che se un'azienda specifica dichiara di non poter (ancora) o non mira a (attualmente) identificare una persona, il GDPR cessa di essere applicabile. Una tale decisione caso per caso è intrinsecamente più complessa e tutto fuorché una "semplificazione". Significa anche che i dati possono essere "personali" o meno a seconda della mentalità interna di un'azienda, o delle circostanze in cui si trovano in un determinato momento. Ciò può anche rendere più complessa la cooperazione tra le aziende, poiché alcune rientrerebbero nel GDPR e altre no.
Inoltre, una tale "soggettiva" rende impossibile per gli utenti o le autorità sapere se il GDPR si applica in ogni caso. In pratica, ciò può rendere il GDPR difficilmente applicabile a causa di dibattiti e disaccordi infiniti sulle reali intenzioni e sui piani di un'azienda.
Max Schrems: "È come una legge sulle armi che si applica solo quando il proprietario conferma di essere in grado di maneggiare un'arma e intende sparare a qualcuno. È ovvio quanto siano assurde definizioni così soggettive"
(2) Estrarre i dati personali dal dispositivo? Finora l'articolo 5(3) ePrivacy ha protetto gli utenti dall'accesso remoto ai dati memorizzati su "apparecchiature terminali", come PC o smartphone. Ciò si basa sul diritto alla protezione delle comunicazioni ai sensi dell'articolo 7 della Carta dei diritti fondamentali dell'UE e ha fatto sì che le aziende non possano "cercare a distanza" nei dispositivi.
La Commissione aggiunge ora operazioni di trattamento "in bianco" per l'accesso alle apparecchiature terminali, che includono "statistiche aggregate" e "finalità di sicurezza". Sebbene la direzione generale dei cambiamenti sia comprensibile, la formulazione è estremamente permissiva e consentirebbe anche "ricerche" eccessive sui dispositivi degli utenti per (minuscoli) scopi di sicurezza.
(3) Formazione AI di Meta o Google con i dati personali dell'UE? Quando Meta o LinkedIn hanno iniziato a utilizzare i dati dei social media, la cosa è stata ampiamente impopolare. In un recente studio, ad esempio solo il 7% dei tedeschi dichiara di volere che Meta utilizzi i propri dati personali per addestrare l'intelligenza artificiale. Tuttavia, la Commissione vuole ora consentire l'uso di dati altamente personali (come il contenuto di oltre 15 anni di un profilo sui social media) per l'addestramento dell'IA da parte delle Big Tech.
Max Schrems: "Non c'è assolutamente alcun sostegno pubblico affinché Meta o Google includano i dati personali degli europei nei loro algoritmi. Per anni ci è stato detto che le persone non dovevano preoccuparsi, perché i nostri dati personali sarebbero stati usati per "connetterci", o al massimo per indirizzare qualche pubblicità. Ora tutti i vostri dati vengono inseriti negli algoritmi di Meta, Google o Amazon. Questo rende più facile per i sistemi di intelligenza artificiale conoscere anche i dettagli più intimi e, di conseguenza, manipolare le persone. Questo avvantaggia soprattutto l'industria statunitense da mille miliardi di dollari che costruisce modelli basati sui nostri dati personali"
La Commissione europea prevede che gli utenti possano scegliere di non partecipare, ma di solito le aziende e gli utenti non sanno di chi sono i dati contenuti in un set di dati di addestramento. Anche se lo sapessero, gli utenti dovrebbero rinunciare migliaia di volte all'anno, ogni volta che un'altra azienda addestra un algoritmo con i loro dati.
Max Schrems: "L'approccio dell'opt-out non funziona nella pratica. Le aziende non hanno i dettagli del contratto degli utenti e gli utenti non sanno chi si allena sulla base dei loro dati. Questo approccio di opt-out è il tentativo della Commissione di mettere una foglia di fico su questa attività di trattamento ovviamente illegale"."
La Commissione non vuole privilegiare solo la formazione dei sistemi di intelligenza artificiale, ma anche il "funzionamento" di tali sistemi. Ciò equivarrebbe a un "jolly" in cui un trattamento altrimenti illegale diventerebbe legale, solo perché viene effettuato con l'IA.
Max Schrems: "Di solito le tecnologie più rischiose devono soddisfare uno standard più elevato. La proposta della Commissione apre le porte all'utilizzo dell'IA, mentre il trattamento tradizionale dei dati continuerebbe a rientrare nelle leggi attuali. È una follia."
(4) Diritti degli utenti ridotti quasi a zero - su richiesta tedesca? Sulla base di un dibattito nazionale sul fatto che i diritti di accesso al GDPR possono essere utilizzati per dimostrare, ad esempio, il mancato pagamento nei contratti di lavoro, il governo tedesco ha chiesto una massiccia limitazione dei diritti degli utenti Governo tedesco ha richiesto una massiccia limitazione di questi diritti - inquadrando tale uso come "abuso", anche se il GDPR prevede già una clausola di "abuso". La Commissione ha seguito la richiesta tedesca e propone di limitare l'uso del diritto di accesso ai dati alle sole "finalità di protezione dei dati".
Al contrario, ciò significa che se un dipendente utilizza una richiesta di accesso in una controversia di lavoro sulle ore non retribuite - ad esempio, per ottenere una registrazione delle ore lavorate - il datore di lavoro potrebbe respingerla come "abusiva". Lo stesso varrebbe per i giornalisti o i ricercatori. In una lettura ampia questo potrebbe andare anche oltre. Se una persona chiede l'accesso ai propri dati al fine, successivamente, di cancellare i dati falsi relativi al ranking creditizio per ottenere un prestito più conveniente in banca, tali diritti non possono essere esercitati per un mero "scopo di protezione dei dati", ma per interesse economico.
Questa limitazione è una chiara violazione della giurisprudenza della CGUE e dell'articolo 8, paragrafo 2, della Carta. Il diritto all'autodeterminazione informativa è esplicitamente inteso a colmare il divario informativo tra gli utenti e le aziende che detengono le informazioni, dato che sempre più informazioni sono nascoste nei server aziendali (ad esempio, copia dei fogli di presenza). La CGUE ha stabilito più volte che si possono esercitare questi diritti per qualsiasi scopo, compreso il contenzioso o la produzione di prove.
Max Schrems: "Questa modifica è una chiara violazione della Carta e della giurisprudenza della CGUE. Sarà utilizzata dai controllori di tutta Europa per minare ulteriormente i diritti degli utenti. La realtà è che non c'è un abuso diffuso dei diritti del GDPR da parte dei cittadini, ma una diffusa non conformità da parte delle aziende. Ridurre ulteriormente i diritti degli utenti dimostra quanto la Commissione sia distaccata dall'esperienza quotidiana degli utenti."
il lavoro di noyb è possibile solo grazie ai nostri 5.287 membri sostenitori. Volete sostenerci anche voi?
